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PA^NT COOPERATION TREAT ) 



From the INTERNATIONAL BUREAU 



PCT 

NOTIFICATION OF ELECTION 
(PCT Rule 61.2) 


To: 

Assistant Commissioner for Patents 
United States Patent and Trademark 
Office 
Box PCT 

Washington, D.C.20231 
ETATS-UNIS D'AMERIQUE 

in its capacity as elected Office 


Date of mailing: 

20 April 2000 (20.04.00) 




International application No.: 

PCT/EP99/07051 


Applicant's or agent's file reference: 
P98136WO.IP 


International filing date: 

22 September 1999 (22.09.99) 


Priority date: 

09 October 1998 (09.10.98) 


Applicant: 

SCHWENK, Jorg 



1. The designated Office is hereby notified of its election made: 

I X| in the demand filed with the International preliminary Examining Authority on: 

12 February 2000(12.02.00) 



I I in a notice effecting later election filed with the International Bureau on: 



2. The election 



0 
□ 



was not 



made before the expiration of 19 months from the priority date or, where Rule 32 applies, within the time limit under 
Rule 32.2(b). 



The International Bureau of WlPO 
34, chemin des Colombettes 
1211 Geneva 20, Switzerland 



Facsimile No.: {41-22)740.14.35 



Authorized officer: 

J. Zahra 

Telephone No.: (41-22)338.83.38 



Form PCT/IB/331 (July 1992) 



3225234 



Best Available Copy 



?k>py for the Elected Office (EO/US) 

PA. cfNT COOPERATION TREATS 



PCT/EP99/07051 



From the INTERNATIONAL BUREAU 



PCT 

NOTIFICATION OF THE RECORDING 
OF A CHANGE 

(PCT Rule 92bis.1 and 
Administrative Instructions, Section 422) 


To: 

DEUTSCHE TELEKOM AG 
Rechtsabteilung (Patente), PA1 
D-64307 Darmstadt 
ALLEMAGNE 


Date of maMing (day/month/year) 
10 March 2000(10.03.00) 


Applicant's or agent's file reference 
P98136WO.IP 


IMPORTANT NOTIFICATION 


International application No. 
PCT/EP99/07051 


International filing date (day/month/year) 

22 September 1999 (22.09.99) 



1. The following indications appeared on record concerning: 



I I the applicant Q the inventor [_| the agent [Xj the common representative 



Name and Address 

DEUTSCHE TELEKOM AG 
Patentabteilung R151 
D-64307 Darmstadt 
Germany 


State of Nationality 


State of Residence 


Telephone No. 

06151/83-58-42 


Facsimile No. 

06151/83-58-43 


Teleprinter No. 


2. The International Bureau hereby notifies the applicant that the following change has been recorded concerning: 
1 I the person the name X the address the nationality Q the residence 


Name and Address 

DEUTSCHE TELEKOM AG 
Rechtsabteilung (Patente), PA1 
D-64307 Darmstadt 
Germany 


State of Nationality 


State of Residence 


Telephone No. 

06151/83-58-40 


Facsimile No. 

06151/83-58-43 


Teleprinter No. 



3. Further observations, if necessary: 



4. A copy of this notification has been sent to: 

[ X| the receiving Office 

I [ the International Searching Authority 



I I the designated Offices concerned 
I X| the elected Offices concerned 

□ 



other: 





Authorized officer 


The International Bureau of WlPO 




34, chemin des Colomt»ettes 


F. Baechler 


1211 Geneva 20, Switzerland 




Facsimile No.: (41-22) 740.14.35 


Telephone No.: (41-22) 338.83.38 



Form PCT/IB/306 (March 1994) 



003157914 



Beat Available Copy 



Deutsches Patent- und Markenamt 



Munchen. den 22. November 1999 
Telefon; (0 89) 21 95 - 2516 
Aktenzeichen: 1 98 47 94 1 . 7 
Anmelder S.Adr. 



Deutsches Patent- und Markenamt • 80297 MQnchen 



Deutsche Telekom AG 
Technologiezentmm 
Patentabteilung EK 03 



64276 Darmstadt 



Deutsche Telekom AG 
Patentabteilung 



Eing.: 2 a NOV. 1339 




ihrZeichen: P 98136 



/T, jeith^^enzeichen und Anmelder bel 
/ ^llen Bngaben und Zahlungen angeben 



Zutreffendes ist angekreuzt [El und/oder aus ausgefUlltl 



Ergebnis einer Druckschriftenermittlung 



Auf den Antrag des 

wirksamam 9.0kt. 1998 gemiB § 43 Patentgesetz □ § 7 Gebrauchsmustergesetz 
sind die auf den beigefOgten Aniagen angegebenen Offentlichen Druckschriften ermittett worden. 
Emnittett wurde in folgenden Patentklassen: 



Klasse/Gruppe 



PriJfcr 



Patentabt. 



CD 

CO 

9. 

Q 
CD 

o 

O 



H04L 9/30.00.32.12/44.G06F 17/30 SQBmulh 



31 



Die Recherche im Oeutschen Patent- und Markenamt stOtzt sich auf die Patentliteratur folgender Lander und Organisationen: 

Oeutschland (DE.OO), Osterreich, Schweiz, Franlaeich, Grofibritannien, USA, Japan (Abstracts), 
UOSSR (Abstracts), Europaisches Patentamt, WIPO. 

Recherchlert wurde auQerdem in folgenden Datenbanken: 



Aniagen: 

Aniagen 1, 2 und 3 zur Mrtteilung der ermitteiten Druckschriften 
6 Druckschrift(en) bzw. Ablichtung(en) 



Patentabteilung 11 
Recherchen-Leitstelle 




P 2251 Annahmesteile und 
11/98 Nachtbriefkasten 
06.95 nur 

ZweibrQckenstra&e 12 

^ffov*i SchncObahnanschlua im 
Munchnct Vefkehrs- und 
Tariftferbund (MW): 



Dlenstdebiuda 

ZwdbrQckenstraQe 12 (Hauptgebdude) 
ZweibrdckenstraOe 5-7 (BfeitertioQ 
WinzererstraOe 47aASaarstraBe 5 

WinzererstraOe 47a / SaarstraOe 5: 
U2 Hohenzollemplatz 



Hausadrossa (ftlr Fracht) 
Deutsches Patent- und MaiVenamt 
ZweibrOckenstraOe 1 2 
60331 MOnchen 



Telefon (089)2195-0 
Telefax (089) 2195-2221 



Landeszentralbank Munchen 7O0 010 54 
(BLZ 700 00000) 



Intemet-Adresse http:/Avww.patent-und-marttenamtde 



ZweibruckenstraOe 12 (Haup^ebaude). Zweibruckenstiafie 5-7 (BreiterttoO' 

S1 - 38 Isartor 



■j-esr Available Copy 



Deutsches Patent- und Markenamt 

Deutsches Patent- und Marlcenamt • 80297 MQnchen 



DATUM: 17 . 1 1 . 1999 SEITE : 1 
198 47 941 .7 



An! age 1 

zur Mitteilung uber die ermittelten Druckschr if ten 
g^naB § 43 des Patentgesetzes 



Druckschr i f ten : 

DE 196 49 292 A1 DE 195 11 298 A1 

US 46 61 658 US 43 09 569 

EP 03 14 292 B1 

Literatur : 

JP 05327748 A.. In: Patent Abstracts of Japan; 



fBitte Anmelder/lnhaber * Alrtenzeichen bei alien Sngaben angeben; ber Zahlungen auch Verwendungszweck. Hinweise auf der Ruckseite beachten ! | 

38 Annahmestells und OionstQabaude Haosadrcssa (fQr Fracht) Telefon {0S9) 21^-0 Bankvarbtndung 

Nachtbriafkastan Zwaibfiickenstr. 12 (Haoptgebaode) Deutsches Patent- und Markon am t Telefax (089) 2195-2221 Landeszentralba nk MUnchen 



^i^^ Available Copy 



Deutsches Patent- und Markenamt 

80297 Munchen 



Fur den Anmelder / AntragsteOer 

Aniage 2 

zur Mitteilung der ermittetten Druckschriften 



Aktenzefchen 



198 47 941.7 




Erlauterungen zu den ermittelten Druckschriften: 



Cmiiittilte miH;>u>ulinHt ii/CiiauluFuny wi 



Bul ri m 
Anoprueh r 



46 61 658 
196 49 292 A1 
195 11 298 A1 
03 14 292B1 
43 09 569 



Fig. 2 mit D e AUii ^ 
Anspr. 1 



:crv\ 



1.2 
1.2 



6p.3.a41-49, Fig. 1 
^ A 

JP 05327748 A., In: Patent Abstracts of Japan; Fig. 1 mit Abj>[i . 



P2253 

11/98 
06.95 



Erktarungen siehe Aniage 3 ( P 2255 ) 



! 



Best Available Copy 



Deutsches Patent- und Markenamt 



Aniage 3 

zurMitteilung der ermittelten Druckschriften 



Hmweise zur Mitteilung (Vordruck P 2251) 

Eine Gew^hr fQr die Vollstandigkeit der Ermittlung wird nicht geleistet (§ 43 Abs. 7 Patentgesetz bzw. § 7 Abs. 
2 Gebrauchsmustergesetz i.V.m. § 43 Abs; 7 Satz 1 Patentgesetz). 

Die angegebene Patentliteratur kann in den Auslegehallen des Deutschen Patent- und Markenamts, 80331 
MQnchen, ZweibrQckenstrafie 12. oder 10969 Berlin. Gitschiner Str. 97 eingesehen werden; deutsche Patent- 
schriften, Auslegeschriften und Offenlegungsschriflen auch in den Patentinformationszentren. Ein Verzeichnis 
Qber diese Patentinfonnationszentren kann auf Wunsch vom Deutschen Patent- und Markenamt sowie von 
einigen Privatfirmen bezogen werden. 



Erkiarungen zur Aniage 2 (Vordruck P 2253) 

Spaltel: Kategorie 

Es bedeutet: 

X: Druckschriften, die Neuheit oder ErfindungshcJhe allein in Frage stellen 

Y: Druckschriften, die die Erfindungshahe zusammen mit anderen Druckschriften In Frage stellen 
A: Allgemein zum Stand der Technlk. technologischer Hintergrund 

O: Nicht-schriftliche Offenbarung. z.B. ein in einer nachverOffentlichten Druckschrift abgedruckter 

Vortrag.der vor dem Anmelde- oder Prioritatstag affentlich gehalten wurde 
P: Im Prioritatsintervall veroffentlichte Druckschriften 

T: Nachveroffentlichte, nicht kollidierende Dmckschriften. die die Theorie der angemeldetenErfindung 
betreffen und fur ein besseres Verstandnis der angemeldeten Erfindung nutzlich sein k6nnen bzw. 
zeigen, daG der angemeldeten Erfindung zugrunde liegende Gedankengange oder Sachverhalte 
falsch sein konnten 

E: Altere Anmeldungen gem^a § 3 Abs. 2 PatG ;oei Recherchen nach § 43 PatG); aitere Patentanmel- 

dungen oder altere Gebrauchsmuster gemali § 15 GbmG (bei Recherchen nach § 7 GbmG) 
D: Druckschriften, die bereits in der Patentanmeldung genannt sind 

L: Aus besonderen Grunden genannte Druckschriften. z.B. zum Veroffentlichungstag einer Entgegen- 
haltung oder bei Zweifein an der Prioritat. 

Spalte 2: Ermittelte Druckschriften / Eriauterungen 

Veroff.: Veroffentlichungstag einer Druckschrift im Prioritatsintervall 

nr: Nicht recherchiert, da allgemein bekannter Stand der Technik. oder nicht recherchierbar 

=: Druckschriften. die auf dieselbe Ursprungsanmeldung zuriickgehen rPatentfamilien") oder auf 

die sich Referate oder Abstracts beziehen, 

Nichts ermittelt 

Spalte 3: Betroffene Anspruche 

Hier sind die Anspruche unter Zuordnung zu den in Spalte 2 genannten relevanten Stellen angegeben. 



P 2255 
1.99 



u^oi MvuiiQDie Copy 



PCX 



ANTRAG 



Der Unterzeichnete beantragt, daB die voraegende 
incemadonale Anmeldung nach dem Vertrag iiber die 
intemadonale Zusammenarbeit auf dem Gebiet des 
Patentwesens behandelt wird. 



Vom Anmeldeamt auszufUilen 



PCT/EP 9 9 / 0 7 0 5 1 

Internationales Aktenzeichen 



(l I 09. 1999 ) 

Intemadonales Anmeldedatum 



2 2 SEP 1999 



EUROPEAN PATENT OFFICE 

PCT INTERNATIONAL APPUCATION 

Name des Anmeldeamts und "PCT International Application" 



Aktenzeichen des Annielders oder Anwalts (falls gewunschi) 
(max. 12 Zeichen) pg8136W0.1P 



Feld Nr. I BEZEICHNUNG DER ERFINDUNG 

Verfahren zum Etablieren eines gemeinsamen kryptografischen SchlQssels fur n Teilnehmer 


Feld Nr. U ANMELDER 


Name und Anschiifc (Familienname, Vamame; bei jurisHschen Personen volLuandige amtliche 
Bezeichnung. Bei der Anschrift sind die Fostleitzphl und der Name des Stoats anzMgeben. Der 
in diesem Feld in der Anschnp angegebene Staat ist der Staat des Situs oder Wohnsitzes des 
Anmelders, sofem nachstehend kein Staat des Sitzes oder Wohnsitz/es angegeben ist) 

DEUTSCHE TELEKOM AG 
Friedrich-Ebert-Allee 140 

53113 Bonn 
De^seMand^ 


1 1 Diese Person ist 
' gleichzeitig Erfinder 


Telefonnr.: 


Telefaxnr.: 


Femschreibnr.: 


Staalsangeh6rigkeil(Staat): 


Sitz Oder Wohnsiu (Staat): 

DE 


Diese Person tstAnmelder r^^l aJlcBestim- r^l aJleOestimmungsstaatcniiutAusnaiune 1 1 aordie Vereinigten | 1 die im Zusatzfeld 
fOrfolgeadeStoaten: I | mungsstaaten der Vereinigten Siaaten von Amcrika 1 1 Staatcn von Amcxika 1 1 angegebenenStaflten 


Feld Nr. UI WEITERE ANMELDER UND/ODER (WEITERE) ERFINDER 


Name und Anschrift: (Familienname, Vomame; bei junsti\chen Personen vollstdndige amtliche 
Bezeichnung. Bei der Anschrift sind die Postieitzflhl und der Name des Stoats anzugeben. Der 
in diesem Feld in der Anschnp angegebene Staat ist der Staat des Sitzes oder Wohnsitzes des 
Anmelders, sofem nachstehend kein Staat des Sitzes oder Wohnsitzes angegeben ist.) 

SCHWENK; Jorg 
Sudwestring 27 

64807 Dieburg 
DE 


Diese Person ist: 
1 1 nur Anmelder 

IXI Amnelder und Erfinder 

1 1 nur Erfinder (Wird dieses KOstchen 

1 1 angekreuzt, so sind die nachstehenden 

Angaben nichtnotig.) 


Staatsangeiiongkeit(Staat): 

DE 


Sitz Oder Wohnsitz f Staat): 

DE 


Diese Person ist Anmclder |~~1 alleBesdm- alteliestimmungsstaacenmitAusnatuns [V] nur die Vereinigten i i die im Zusatzfeld 
fUrfolgendeStnaten: 1 1 mungsstaaten 1 1 der Vereinigten Staaten von Amerika 1 ^ 1 Staatcn von Amerika 1 1 angegebenenScaaten 


I 1 Weitere Anmclder und/oder (weitcre) Erfinder sind auf einem Fortsetzungsblatt angegeben. 


Feld Nr. IV ANWALT ODER GEMEINSAMER VERTRETER; ZUSTELLANSCHRIFT 


Die folgende Person wird hiermit besteiMst bestellt worden, um fUr den (die) Anmelder | — | Anwalt fSl S^^^^sama* 
vor den zustandigen internadonalen Befaorden in folgender Eigenschaft zu handein als: 1 1 1^1 Vertretcr 


Name und Anschrift: (FamiUenname, Vormme; bei jurisiischenPenonaivoU^andigeamtUche Bezeichnung. 

Bti der Anschrift sbtd die Postleitzflhl und der Name des Stoats amugeberL) 

Deutsche Telekom AG 
Patentabteilung R151 
64307 Darmstadt 
Deutschland 


Telefonnr.: 

08151/83-58 42 


Telefcixnr.: 

06151/83-58 43 


Femschreibnr.: 


1 — 1 Zustellanschrift: Dieses Kastchcn ist anzukreuzen. wcnn kein Anwalt oder gcmcinsamer Vertrcter bestellt ist und statt desscn 
1 1 im obigcn Feld eine spezielle Zustellanschrift angegeben ist 



Formblatt PCT/RO/101 (Blatt 1) (JuU 1998; Nachdiuck JuU 1999) 



Siehe Anmerkungeti zu diesem Antragsformular 




t 



Best Available Copy 



Feld Nr. V BESTIMMUNG VON STAATEN 



rti/tK yy/u/ubi 



Blatt Nr. 



Die folgendeo Bcstimmangco nach Rcgcl 4.9 Absatz a wcrdcn hicrmil vorgcnommco (biae die entsprechenden Kdstchen ankrettzen; wenigstens tin Kdstehen 
mufl angekretat werdenh 
Region ales Patent 

□ AP ARIPO-Patent: GH Ghana. CM Gambia, KE Kenia, LS Lesotho, MW Malawi, SD Sudan, SL Sierra Leone, 

SZ Swasiland, UG Uganda, ZW Simbabwc und jcdcr weitere Staat, der Vcrtragsstaat dcs Harare-Protokolls und des PCX ist 
Q £A Eurasisches Patent: AM Amnenien, AZ Aserbaidschan, BY Belarus, KG Kirgisistan, KZ Kasachstan, MD Republik 

Moldau, RU Russischc Federation, TJ Xadschikistan, TM Xurkmcnistan und jeder wcitcrc Staat, der Vcrtragsstaat dcs 

Eurasischcn Patentabereinkommens und des PCX ist 
g) EP Earopdisches Patent: AT Osterreich, BE Belgien, CH und LI Schweiz und Liechtenstein, CY Zypem, 

DEDeutschland,DKDflnemark, ESSpanien, FIFinnland, FRFrankreich, GB VereinigtesKdnigreich^GRGriecheiiland, 

IE Irland, IT Italien, LU Luxemburg, MC Monaco, NL Niederlande,PT Portugal, SE Schwedcn und jeder weitere Staat, 

der Vcrtragsstaat des Europaischen PatentObereinkonimens und des PCX ist 

□ OA OAPI-Patent: BF Burkina Faso, BJ Benin, CF Zentralafrikanische Republik, CG Kongo, CI Cote d'lvoire, 

CM Kamerun, GA Gabun, GN Guinea, GW Guinea-Bissau, ML Mali, MR Mauretanien, NE Niger, SN Senegal, 
TD Tschad, TG Xogo und jeder weitere Staat, der Vcrtragsstaat der OAPI und des PCX istffalU eine anden Sckutzrechuart 

oder ein sonstiges Verfahren gewunscht wird, biue auf der gepunkutm Linie angeben) 

Nationales Patent (falls eine andere Schutzrechtsart oder ein sonstiges Verfahren geii9unscht wd, biae auf der gepunkxeten Linie angeben): 



□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 

□ 

□ 
□ 

□ 
□ 
□ 

□ 
□ 
□ 
□ 



AE Vcrcinigte Arabische Emirate □ 

AL Albanien □ 

AM Armenien □ 

AT Osterreich □ 

AU Australien O 

AZ Aserbaidschan Q 

BA Bosnien-Herzegowina □ 

BB Barbados O 

BG Bulgarien 

BR Brasilien D 

BY Belarus □ 

CA Kanada □ 

CH und LI Schweiz und Liechtenstein O 



China □ 

Kuba □ 

Xschechische Republik □ 

Deutschiand □ 

Dftnemark □ 

Estland □ 

Spanien O 

Filmland D 

Vereinigtes Kdnigreich O 

Grenada O 

Georgien O 

Ghana □ 



CN 
CU 
CZ 
DE 
DK 
EE 
ES 
FI 
GB 
GD 
GE 
GH 

GM Gambia Q 

HR Kroatien □ 

HU Ungam □ 

ID Indonesien Q 

IL Israel □ 

IN Indicn 12 

IS Island 

JP Japan □ 

KE Kenia*: □ 

KG Kirgisistan □ 

KP Demokralische Volksrepublik Korea □ 

□ 



LR Liberia 

LS Lesotho 

LT Litauen 
LU Luxemburg 
LV Lettland 

MD Republik Moldau 

MG Madagaskar 

MK Die ehemalige jugoslawische Republik 

Mazedonien 

MN Mongotei 

MW Malawi 

MX Mexiko 

NO Norwegen 

NZ Neuseeland 

PL Polen 

PT Portugal 

RO Rumanien 

RU Russischc Federation 

SD Sudan 
SE Schwedcn 
SG Singapur 

SI Slowcnien 

SK Slowakei 

SL Sierra Leone 

TJ Xadschikistan 

TM Xurkmcnistan 

TR XOrkei 

TT Xrinidad und Xobago 

UA Ukraine 

UG Uganda 

US Vereinigte Staaten von Amerika 



UZ 
VN 
YU 
ZA 



Usbekistan 
Vietnam . . . 
Jugoslawien 
SOdafrika . . 



ZW Simbabwe 



KR Republik Korea Kfistchen fUr die Bcstimmung von Staatcn , die dem PCX nach dcr 

KZ Kasachstan VcrOffcntlichung dieses Formblatts beigctreten sind: 

LC Saint Lucia □ 

LK Sri Lanka □ 



Erklarung bzgL vorsorglicher Bestimmungen: Zusdtzlich zu den obcn genannten Bestimmungcn nimmt der Anmcldcr nach 
Regei 4.9 Absatz b auch aUe anderen nach dcm PCX zulassigen Bestimmungen vor mit Ausnahme der im Zusatzfeld genannten 
Bestinmiungcn, die von dieser Erkl^ng ausgenommen sind. Dcr Anmcldcr erkl&rt, dafi diese zusfltzlichcn Bestimmungen unter 
dcm Vorbehalt einer Bestatigung stehcn und Jede zusatzliche Bcstimmung, die vor Ablauf von 15 Monaten ab dem Prioritatsdatum 
nicht bestfltigt wurde, nach Ablauf dicscr Frist als vom Anmcldcr zurtlckgcnommcn gilt (Die Bestatigung einer Bestimmung 
erfolp durch die Einreichung einer MiUeilung in der diese Bestimmung angegeben wird, und die Zahlung der Bestunmungs- und 
der Bestdtigun gsgebOhr. Die Bestdtigung mt$ beim Anmeldeamt irmerhalb der Frist von J 5 Monaten eingehen,) 



FormblattPCX/RO/101 (Blatt 2) (Jul i 1999) 



Siehe Anmerkungen zu diesem Antragsformular 




t 



Best Available Copy 



Feld Nr. VI PRIORTTATSANSPRUC 



f- 



Blatt Nr. 



PCT/EP 9 9 / U / u o 



I I Weitere Prioritatsansprtlche sind im Zusatzfeld angegefaen. 



Anmeldedatum 
aer trQneren Anmeiaung 
(Tag/tAonat/Jahr) 


Aktenzeichen 
der frohercn Anmeidinig 


1st die frtihere Anmeldung eine: 


nationale Anmeldutig: 
Staat 


rpgion^Je Anmeldung:* 
regionales Amt 


intemationaie Anmeldung: 
Anmeldeamt 


Zeile(l) 

O9.0ktober 1998 
(09.10.1998) 


19847941.7 


DE 






Zeile(2) 










Zeile(3) 











□ Das Anmeldeamt wind ersucht eine beglaubtgte Abschrift der obcn in der (den) Zeilefn) __ — _ 
bezeichneten fitlheren Annieldung(cn) zu ersuUen und dcm internationalen BQro zu Qbenmtteln (nur fails ale (ruhere Anmelaang(en) oei 
dem Amt eingereicht worden ist(sind), das fur die Zwecke dieser IntBrnaaonalen Anmeldung Anmeldeamt 1st) 
* Falls es sich bei (fer Msheren Anmeldung urn eine ARDO-Anmeidung handelL so mtifl in dem ZusaOfdd mindestais ein Staat ange^boi wmden, der 
Mitgiiedstaat der Pariser Verbandsubereimunli zum Schutz des gewerbiichen Elgentums ist und fur den die frubere Anmeldung eingereicht wurde. 



Feld Nr. Vn INTERNATIONALE RECHERCHENBEHORDE 



Wahi der intematfcinalen Recherchenbehdrde (ISA) 
(falls zwei oder mehr als zvrei intemationaie Recherchen- 
bebdrden fUr die Ausfuhrung der intemationalen Recbercbe 
zust§ndig sind, geben Sie die von Ibnen gewSblte Behdrde an: 
derZweibucbstaben-Code Jkarai benu<zr werden): 

ISA / EP 



Antrag auf Nutzuns der Ergebnisse cfaier firOhercn Recherche; Bezugnahme auf diese 
fruhere Recherche ^/is einefrQbere Recbercbe bei der intemationalen Recbercbenbebdrde 
beantragt oder von ihr durcbgefubrt warden ist) : 

Datum (Tag/Monat/Jabr) Aktenzeichen Staat (oder regionales Amt) 



FeldNr.Vni KONTROLUSTE; EINREICHUNGSSPRACHE 



Diese intemationaie Anmeldung enthfilt 
die folgende Anzahl von BlSttem: 

Antrag : 4 

Beschreibimg (ohne 
SequenzprotokoDteil) 

AnsprQche 

Zusanunenfassiing 

Zeichnungen 

SequenzpiDtokollteil 
derBeschreibung 

Blattzahl insgesamt 



17 



Dieser intemationalen Anmeldung liegen die nachstehend angekreuzten Unterlagen bei: 

1 . jg Blatt fUr die Gebtlhrenberechnung 

2. □ GesonderteunterzeichneteVoUmacht 

3. g) Kopie der allgemeinen Vollmacht; Aktenzeichen (falls vorhanden): 38692 

4. □ Begrilndung fllr das Fehlen einer Unterschrift 

5. □ Prioritatsbeleg(e), in Feld Nr. VI durch 

folgende Zeilennmnmer gekennzeichnet 

6. Q Obersetzung der intemationalen Anmeldung in die folgende Sprache: 

7. Q (jesondeite Angaben zu hinteriegten Mikrooiganismen oder anderem biologischen Material 

8. □ ProtokoUderNucleotid-imd/oderAminosauresequenzenincomputerlesbarerFonn 

9. □ Sonstige(eifizeinauffii/irenj:Zusatzblatt 



Abbildimg der Zricfanungen, die 
mit der Zusammenfassung J 
vertffentficht werden soli (Nr.): ^( 



Sprache, in der die 
intemationaie Anmeldung Hputeph 
eingereicht wird: vjcurav^i i 



Feld Nr. DC UNTERSCHRIFT DES ANMELDERS ODER DES ANWALTS 

Der Name ieder iinteTzeit±nenden Person ist neben der Unterschrili zu wiede±o!en, und es ist anzugeben. sofem si<± dies nicht eindeutig 
aus dem Antrag ergibL in weicber Eigenscbaft die Person unterzeicbnet, 

Deutsche Telekom AG 



i.A. 




Fortsetzung Blatt 4 



Rolf Henn, Referent der Patd 
EPA- Vollmacht 38692 



I Vom Anmeldeamt auszuftlllen 



1. Datum des tatsSchlichen Eingangs dieser 
intemationalen Anmeldung: 



fizm. 9 9) 



2 2 SEP 1999 



3. Ge^dertes Eingangsdatum aufgrundnachti^licbjedoch 
" ' ;eiecht eingegangener Unterlagen oder Zeiclmungen 
ervollstajidigung dieser intgnationalen Anmeldung: 



zur 



4. Datum des firistgerechten Eingangs der aiiflefonierten 
Richtigstellungen nach Artikel 1 1(2) PCT: 



2. Zeidmimgen 
gangen: 



□ 



nicht ein- 
gega n ge n: 



5. Internationale Recherchenbehdrde 
(fails zwei Oder mehr zustandig sind): 



ISA/ 



□ Oberautdimgdes Recherchenexemplais bis zur 
Zahlung derRecherchengebtlhr aufgeschoben 



Datum des Eingangs des Aktenexemplars 
beim Intemationalen Btiro: 



• Vom Intemationalen Btlro auszufUllen • 



Formblatt PCT/RO/101 (letztes Blatt) (Mi 1998; Nachdruck JuU 1999) 
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BlattNr. .4 
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Ztisatzfeld Wird dieses Zusatzfeld nlchtbenutzt, so soiite d/eses Blatt d&n Antrag nlcht beigefugt werden. 



L WeimderPlatzindnewF^t^aicbtfuraUeADgabenausreicht: IndiesemFallschreib&iSie 'FortsetzungvonFeldNr, ... " [Nummer 
des Feldes angebo}} vr.d rjr h^v d^e Angaben entsprechend der in dem Feld, in d&n der Piatz nicht^,usreir^':, ^^rgesciiriebenen Art und 
Weise, insbesondere: 

(i) WeimmebralsiweiAimeidertmd/oderErihidervorhandensindundkein "Fortsetzungsblatt' zur Verfummgsteht: Indiesem 
Fail sciireilyen Sie 'Fortsetzung von Feld Nr, IB' und tmchen fur Jede weitere Person die in Feid Nr In voigesciiriebenai 
Angaben. Der in diesem Feld in der Anschrift angegebene Staat ist aer Staat des Sitzes oder Woimsitzes des Anmeiders, sofern 
nachstehend kein Staat des Sitzes odm- Woimsitzes angegeben ist. 

(U) Wgw in Feid Nr. U od&- ID die Angabe "die an Zusatdeld angegebeneD Siaaten" angeiavuzt ist: Indiesem Fall schreiben Sie 
'Fortsetzung von Feid Nr. II 'Fortsetzung von Feid Nr. ID " bzw. "Fortsetzung von FadNr, II undNr, HI ' undgeben den Namen 
des Anmelders oder die Namen der Anmefder an und neben Jedem Namen den Staat oder die Staaten (und/oder ggf. ARIPO-, 
eurasisciies, europaisdies oder OAPI-Patent). fOr die die b^eichnete Pason Anmeider ist 

(iii) W&m der in Feid Nr. B oder IB genannte ErBnder oder ErBnder/Anmelder nicbt fur aUe BesdmmungssiaateD oder fur die 
Vminigten Staaten von Amenka als Er&ider beaaant ist: In diesem Fail schreiben Sie "Fortsetzung von Feid Nr. II', 
' Fortsetzung von Feid Nr. BI" bzw. 'Fortsetzung von Feld Nr. II und Nr. BI' undgeben den Nam&i des Erflnaeis oder die Namen 
der Erfinder an und nel)enledan Namen d&i Staat Oder die Staatai (und/oder ggf. ARIPO-, eurasisches, europaisdies oder 0^1- 
Patmt), fur die die t>ezeichnete Person Erfinder ist. 

(iv) Wain zusatziidi zu dem Anwait oder den Anwalten, die in Feid Nr. IV angegebat sind weitere Anwalte besteUt sind: In diesem 
Fail sciweiben Sie 'Fortsetzung von Feid Nr. IV' und maciim fur Jeden weiteren Anwait die entspredjoiden, in Feid Nr. IV 
vorgesciirlebenai Angaben. 

(v) WenninFeldNr. Vbeieinem Staat (oder beiOAPI) die Angabe''Zusalzpateat'' oder ''ZusatzzerdGkat,'' oder wenn in Feid N^ V 
bei den Vereinigten Staaten von Ameriica die Angabe "Fotisetnmg" oder '^dlfortsetzung" hinzu^ugt wird: In diesem Fail 
s(±reib€32 Sie 'Fortsetzungvon Feid Nr. V' undgeben den Nsmen des betreff&idenStaats^erOM^I) an und xjach dem blamen 
JedessoIchenStaats (oderuAPI) das Aktenzeidien des Hauptsc^utzredits oder der Hauptsciiutzreditsaimeldung und das Datum 
der Erteilung des Hauptschutzrichts oder der Eiiweidtung der Hauptsciiutzreciitsanmeidung. 

(vi) Wenn in Feid Nr. VI die Priarit^t ran mebr als drei Griilteren Aniaeidungen beanspructt wird: In diesem FaB sciweiben Sie 
'Fortsetzung von Feid Nr. VI " undmach&i fOrJede weitere friihereAnmeldung die entsprechenden, in Feid Nr. VI vorgescbrieben&i 



(vii) Wenn in Feid Nr. VI dlefruhere Anmeldung dne AJRIPO Aomeidung ist: In diesem Fail sciweiben Sie 'Fortsetzung von Feid 
Nr. VI " und geben, unto- Angabe der Nummer der Zeiie, in der die die fruhere Anmeldung betreffenden Angaben gemacht sind, 
mindestens emen Staat an, derMitgiied da-Pariser Verbandsubereini^unftzumSchutz desgewerbllchen Eigentumsist und fur den 
die fruhere Anmeldung erfolgte. 

Z. Wesm, im Hinblick aufdie Erklarung higL vorsorgHcherBesiinuaungen in Feid Nr V, der Anmeider Staaten von dieserErklarxmg 
ausnehmen mochte: In dleson Fail schreiben Sie ''Bestimmung(en), die von der Erklarung tagi. vorsorglicher Bestimmungen 
ausgenommen ist(sind) ' undgeben den Namen oder den Zweibucnstaben-Code jedes so aus^chiossen&i Staates an. 

3. Wenn der Anmeider fur irgendein Bestimmungsamtdie Vorteilenationaler Vorschriften betreffendumcIiMdUche OffeBbanmgoder 
Ausoahmen voa der NeubeitsscMdlidtkeh in Anspruch nimmt: In diesem Fail schreiben Sie 'Erhiarung betreffend unschadliche 
(DffenbarungoderAusnahmen von der NeuheltsscbadUchkelt " undgeben im foigenden die entsprechende iSrklarungab. 



Die Unterschrift des Erfinders bzw. Anmelders und die Prioritatsbescheinigung wird nachgereicht. 



Angaben. 
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VERTRAG UBER DTf INTERNATIONALE ZUSAMIVitNARBEIT AUF DEM 

GEBIET DES PATENTWESENS 

PQj r^c-D 0 4 AUG 2(MI0 

INTERNATIONALER VORLAUFIGER PRUFUNGSBER 

(Artikel 36 und Regel 70 PCT) 




Aktenzeichen des Anmelders Oder Anwalts 
P98136WO.IP 


siehe Mitteilung ut>er die Ubersendung des internationalen 
WEITERES VORGEHEN vorlaufigen Priifungsbericht (Formblatt PCT/IPEA/416) 


tnternationates Aktenzeichen 


Internatiormles Anmeldedatum frac^^onat</a/ir; 


Prioritatsdatum (Tag/Monai/Tag) 


PCT/EP99/07051 


22/09/1999 


09/10/1998 


Internationale Patentktassification (IPK) Oder nationale Klassifikation und IPK 




H01 L9/08 






Anmetder 






DEUTSCHE TELEKOM AG et a!. 







1 . Dieser internationale vorlaufige Pmfungsbericht wurde von der mit der internationale vorlaufigen Prufung beauftragte 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 ubermittelt. 

2. Dieser BERICHT umfa3t insgesamt 5 Blatter einschlleBlich dieses Deckblatts. 

S Auf3erdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich um Blatter mit Beschreibungen, Anspruchen 
und/oder Zeichnungen, die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Behorde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Verwaltungsrichtlinien zum PCT), 

Diese Aniagen umfassen insgesamt 3 Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 

I S Grundlage des Berichts 
Prioritat 

Keine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatlgkeit und gewerbliche Anwendbarkeit 
Mangelnde Einheitlichkeit der Erfindung 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderische Tatigkert und der 
gewerbliche Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

Bestimmte angefuhrte Unterlagen 

Bestimmte Mangel der internationalen Anmeldung 

Bestimmte Bemerkungen zur Internationalen Anmeldung 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 


□ 



Datum der Einreichung des Antrags 
12/02/2000 


Datum der Fertigstellung dieses Berichts 
01.08.2000 


Name und Postanschrift der mit der intemationaJen vorlaufigen 
Prufung beauftragtan Behorde: 

^ Europaisches Patentamt - P. B. 581 8 Patentiaan 2 
/O)) NL-2280 HV Rijswijk - Pays Bas 

Tel. +31 70 340 - 2040 Tx: 31 651 epo nl 
Fax: +31 70 340 - 3016 


Bevollmachtigter Bediensteter 

Zucka, G (C ^ i) 

Tel. Nr. +31 70 340 4026 
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INTERNAnONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/EP99/07051 



I. Grundlage des Berichts 

1 . Dieser Bericht wurde erstellt auf der Grundlage {Ersatzblatter, die dem Anmeldeamt auf eine Aufforderung nach 
Artikel 14 hin vorgelegt warden, geften im Rahmen dieses Berichts a/s "ursprunglich eingereicht" und sind ihm 
nicht beigefugt, weil sie keine Anderungen enthalten.y. 

Beschreibung, Seiten: 

1,2,4-7 ursprungliche Fassung 

3,3a eingegangen am 16/06/2000 mit Schreiben vom 15/06/2000 

Patentanspruche, Nr.: 

3 ursprungliche Fassung 

1 ,2 eingegangen am 1 6/06/2000 mit Schreiben vom 1 5/06/2000 

Zeichnungen, Blatter: 

1/3-3/3 ursprungliche Fassung 

2. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 

□ Beschreibung, Seiten; 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

3. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 

angegebenen Grunden nach Auffassung ^ier Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)): 

4. Etwaige zusatzliche Bemerkungen: 
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INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/EP99/0705 1 



V. Begrundete Feststellung nach Artikel 35(2) hinsichtllch der Neuheit, der erflnderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

1. Feststellung 

Neuheit (N) Ja: Anspruche 1 -3 

Nein: Anspruche 

Erfinderische Tatigkeit (ET) Ja: Anspruche 1 -3 

Nein: Anspruche 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1-3 

Nein: Anspruche 



2. Unterlagen und Erklarungen 
siehe Beiblatt 



VII. Bestimmte Mangel der internationalen Anmeldung 

Es wurde festgesteilt, daf3 die Internationale Anmeldung nach Form oder Inhalt folgende Mangel aufweist: 
siehe Beiblatt 
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INTERNAHONALER VORLAUFIGER Internationales Aktenzeichen PCT/EP99/07051 
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Zu Punkt V 

1 Es wird auf das folgende Dokument verwiesen: 

D1 = DAVID A. MCGREW AND ALAN T. SHERMAN: 'Key establishment 
in large dynamic groups using one-way function trees', 20. Mai 
1998 (1998-05-20), Seiten 1-13; verfugbar auf Internet: 
<http://www.cs.umbc.edu/-sherman/Papers/it se.ps> 23. Juni 1998 
XP0021 26220 

2.1 Das Dokument D1 wird als nachstliegender Stand der Technik gegenuber dam 
Gegenstand des unabhangigen Anspruchs 1 angesehen. Es offenbart ein 
Verfahren zum Etablieren eines gemeinsamen kryptografischen Schlussels fur n 
Teilnehmer, bei dam jadem dar n Teilnehmer jawails ein Blatt einas binar 
strukturiartan Baumas, dar ganau n Blatter und in atwa dia Tiafa pogan] besitzt, 
zugaordnat wird. 

2.2 Damit auch nach dam Etabliaren das Gruppanschlussals ohne groBan Aufwand 
Tailnahmer aus dam Schlussalvarzaichnis galoscht oder hinzugefugt warden 
konnan, sieht das Varfahren dar Anmaldung vor, 

- daR jedar Teilnehmer salbst ain Gahaimnis ganariart und dieses dam Blatt das 
Baumes zugeordnet wird, dam auch dar jaweilige Teilnehmer zugeordnet ist; 

- daB nachainander in Richtung der Baumwurzel fur alle Knoten des Baumes 
Gaheimnisse etabliert warden, wobei ausgehend von den Blattern entsprechend 
dar fastgelagten Baumstruktur ubar dia gesamte Hiararchie der Baumstruktur 
immar zwei bereits bekannte Gaheimnisse iibar das Diffie-Hallmann-Verfahren zu 
einem nauen gemeinsamen Gahaimnis zusammangefaBt und ainem 
gemeinsamen Knoten zu geordnet werden, so daB der letzte Knoten und damit 
die Baumwurzel als Geheimnis den gemeinsamen Schlussel aller n Teilnehmer 
enthalt. 

2.3 Eine solche Vorgehensweise wird von den im Recherchenbericht erwahnten 
Dokumenta wader offenbart noch nahegelegt: beim Verfahren im Dokument D1 
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INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/EP99/07051 
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wird zur Etablierung des gemeinsamen Schlussels ein "Group Manager" benotigt. 
2.4 Die erfinderische Tatigkeit wird somit anerkannt. 

3. Die Anspruche 2-3 sind vom Anspruch 1 abhangig, und deren Gegenstand ist 
deshalb auch neu und erfinderisch. 

4. Der Gegenstand der Anspruche 1-3 ist gewerblich anwendbar. 
Zu Punkt VII 

1 . Wenn D1 als nachstliegender Stand der Technik betrachtet wird. ist die 
Beschreibung der Erfindung auf Seite 3a, Zeile 10 - Seite 4, Zeile 4 nicht korrekt 
(Regel 5.1(a)(iii) PCT), weil auch in D1 das Etablieren eines Gruppenschlussels 
mit Hilfe einer Baumstruktur vorgenommen wird, und die Anzahl der an der 
Schlusselbildung beteiligten Teilnehmer n als binarer Baum mit n Slattern 
dargestellt wird, wobei jedem Teilnehmer ein Blatt des binaren Baumes mit der 
Tiefe 0092^1 zugeordnet ist. 

2. Aus dem gleichen Grund ist auch die zweiteilige Form nicht korrekt (Regel 6.3(b) 
PCT). 
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Bei aUen diesen Enveiterungen tritt mindestens eines der drei folgenden Probleme auf: 

- Die Teilnehmer mussen in einer bestimmten Art und Weise geordnet sein, im obigen 
Beispiel z. B. als Kreis. 

- Die Teilnehmer haben gegenuber der Zentrale keinen EinfluC auf die Auswahl des 
Schliissels. 

- Die Rundenzahl ist abhangig von der Teilnehmerzahl 

Ein weiteres Verfahren zum gemeinsamen Etablieren eines ScMussels ist aus 

DE 195 38 385.0 bekannt. Bei diesem Vei^en muB die Zentrale allerdings die geheimen 

Schlussel der Teilnehmer kennen. 

Unter dem Titel ,^ey estalishment m large dynamic groups using one-way fimction trees" 
von David A. McGrew und Alan T. Sherman wurde bei den IEEE Transaction On Software 
Engineering ein Artikel vom 20.05 1998 Seite 1 bis 13 emgereicht, der ebenfaUs ein 
Verfahren zum EtabUeren eines gemeinsamen kryptografischen Schlussels vorsteUt. Dieses 
Verfahren basiert auf einer Baumstruktur. Ein Gruppenmanager (Group Manager) verwaltet 
dabei einen Binarbaum, wobei jeder BCnoten x von ihm mit zwei kryptografischen Schlussein 
verknupft ist, einem Knotenschlussel kx und einem verdeckten Knotenschlussel k'x « g(kx). 
Der verdeckte Knotenschlussel wird aus dem Knotenschlussel mit Hilfe einer 
Einwegfunktion berechnet. Jeder Teilnehmer kennt die unverdeckten Knotenschlussel auf 
dem Pfad von seinem Knoten bis zur Wurzel und die verdeckten Knotenschlussel fur die 
Knoten, die fiir seinen Pfad zur Root Geschwister sind und sonst kdne anderen verdeckten 
Oder unverdeckten Schlussel. Die Durchfuhrbarkeit dieses Verfahrens beruht offensichtUch 
darauC dass der Gruppenmanager alle Blatt-Schlussel kennt. 
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Weiterhin ist eine Losung aus Burmester, Desmedt, A secure and efficient conference key 
distribution system, Proc. EUROCRYPT 94, Springer LNCS. Berlm 1994 bekannt, bei der 
zwei Runden zur Generierung des Schlussels benotigt werden, wobei in der zweiten Runde 
durch die Zentrale fur n Teihiehmer n Nachrichten der Lange p = ca. 1000 Bit gesendet 
werden mussen. 

Bekannt ist auch ein als (n,t).Threshold- Verfahren bezeichnetes kryptografisches Verfahren. 
Mit einem (n,t)-Threshold-Verfahren kann man einen Schlussel k so in t Telle, die shadows 
genannt werden, zerlegen, daB dieser Schlussel k aus je n der t shadows rekonstruien 
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werden kann (vgl. Beutelspacher, Schwenk, Wolfenstetter: Modeme Verfehren der 
Kryptographie (2. Auflage), Vieweg Verlag, Wiesbaden 1998). 

Das vorUegende Verfahren soU das EtabUeren eines gemeinsamen Gruppenschliissels 
5 zwischen einer Zentrale imd einer Giuppe von n Teilnehmem ermoglichen . Das Verfehren 
soU so ausgebUdet werden, daC auch nach dem EtabUeren des GruppenschlQssels ohne 
groBen Aufwand Teilnehmer aus dem Schlusselverzeichnis geloscht oder hinzugefugt 
werden konnen. 

10 Die AufgabensteUung wird durch ein Verfahren geldst, bei welchem das Etablieren eines 
GruppenschlQssels mit HQlfe einer Baumstruktur vorgenommen wird. Dazu wird die Anzahl 
der an der Schlusselvereinbanmg beteOigten Teilnehmer n als binarer Baum mit n Blattera 
dargestellt. Fur jede naturliche Zahl n gibt es eine oder mehrere 
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(3) Patentanspruche: 



1 . Verfehren zum Etablieren eines gemeinsamen kryptografischen Schlussels fiir n 
Teilnehmer unter Anwendung des an sich bekannten DH-Verfehrens, bei dem jedem 
der n Teilnehmer (I) jeweils ein Blatt eines binar strukturierten Baumes, der genau n 
BlattCT und in etwa die Tiefe riog2nl besitzt. zugeordnet wird, 

dadurch geken nzeich net, 

-daB jeder Teilnehmer (I) selbst ein Geheimnis (i) generiert imd dieses dem Blatt des 
Baumes zugeordnet wird, dem auch der jeweilige Teihiehmer (I) zugeordnet ist, 

-daB nacheinander in Richtung der Baumwurzel fur alle Knoten (K) des Baumes 
Geheimnisse etabliert werden, wobei ausgehend von den Blattem entsprechaid der 
festgelegten Baumstruktur fiber die gesamte Hierarchic der Baumstruktur immer zwei 
bereits bekannte Geheimnisse fiber das DH-Verfehren zu einem neuen gemeinsamen 
Geheimnis zusammengefeBt und einem gemeinsamen Knoten (K) zu geordnet werden, 
so daB der letzte Knoten Kw und damit die Baumwurzel als Gehdmnis den 
gemeinsamen Schlfissel aller n Teilnehmer enthalt. 

2. Verfahrennach Anspruch 1, d a d u rch gekennzeichnet, 

-daB bei Aufiiahme eines neuen Teihiehmers in eine bestehende Baumstruktur, die bereits 
fiber ein gemeinsames Geheimnis verfugt, zum Etablieren eines gemeinsamen Schlfissds 
fiir n+1 Teihiehmer an geeigneter Stelle des binaren Baumes emem Blatt (B) als 
Nachfolger zwei neue Blatter (Bl und B2) angefiigt werden, so daB der neue Baum 
genau n+1 Blatter und die Tiefe riog2(n+l)l besitzt, 

-daB der dem bisherigen Blatt (B) zugeordnete Teihiehmer und der neue Teihiehmer 
jeweUs emem der neuen Blatter (Bl; B2) zugeordnet werden, wobei das bisherige 
Blatt B zu einem gemeinsamen Knoten fiir die neuen Blatter (B132) wird, 
-daB ausgehend von den neuen Blattem (B132) bis zur Wurzel des Baumes nur in den 
Knoten neue Geheimnisse etabliert werden, die im Rahmen der Baumstruktur auf dem 
Weg von den Blattem Bl und B2 zur Baumwurzel Uegen. 
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Applicant's or agent's file reference 
P98136WO.IP 


irrhD inro-rxxiro Ai—rirkM Notification of Transmittal of International 
FOR FURTHER ACTION preliminary Examination Report (Form PCT/IPEA/4 1 6) 


International application No. 

PCT/EP99/07051 


International filing date (day/month/year) Priority date (day/month/year) 

22 September 1999 (22.09.99) 09 October 1998 (09.10.98) 


International Patent Classification (IPC) or national classification and IPC 
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1. This international preliminary examination report has been prepared by this International PrelS^iary Examining 
Authority and is transmitted to the applicant according to Article 36. 



2. This REPORT consists of a total of 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70. 1 6 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



3. This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 
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I2SI 
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□ 
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IV 


□ 


V 




VI 


□ 
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□ 



Date of submission of the demand 

12 February 2000 (12.02.00) 


Date of completion of this report 

01 August 2000 (01 .08.2000) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



mtemational application No. 

PCT/EP99/07051 



L Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been Jumished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 

the international application as originally filed. 

the description, pages ^ ,2,4-7 ^ as originally filed, 

pages , filed with the demand, 

pages 3,3a ^ filed with the letter of 

pages , filed with the letter of 



15 June 2000(15.06.2000) 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1,2 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



15 June 2000(15.06.2000) 



^ the drawings, sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



1/3-3/3 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

□ 

the description, pages 

the claims, Nos. 



□ 

the drawings, sheets/fig 



2 I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
' — ' to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (I A) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-3 



1-3 



1-3 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 



This report makes reference to the following 
document : 



Dl: DAVID A. MCGREW AND ALAN T. SHERMAN: "Key 

es'tabllshmen't xn large dynamxc groups using 
one-way function trees", 20 May 1998 (1998-05- 
20), pages 1-13; available on the internet: 
http : //www, cs . uxnbc . edu/-sherman/Papers/itse .ps 
23 June 1998, XP002126220. 



2.1 Document Dl is considered the prior art closest to 
the subject matter of independent Claim 1 and 
discloses a method for establishing a shared 
cryptographic key for n subscribers, in which method 
each of the n subscribers is associated with a leaf 
of a binary tree having exactly n leaves and 
approximately the length riog2nl. 

2.1 For subscribers to be evicted from or added to the 
key directory without much outlay, even after the 
group key has been established, the claimed method 
proposes that 
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- each subscriber generates himself a secret and 
this is associated with the tree leaf which is also 
associated with the subscriber in question; 



- secrets are successively established in the 
direction of the tree roots for all nodes of the 
tree, starting from the leaves and continuing 
through the entire hierarchy of the tree structure, 
according to the determined tree structure, every 
two already known secrets being combined by the 
Dif f ie-Hellmann method into a new shared secret and 
associated with a shared node, so that the last node 
and hence the tree root contains as a secret the 
shared key of all n subscribers . 



2.3 Th search report citations neither disclose nor 
suggest such a procedure. In the method of Dl, a 
''group manager" is required for establishing the 
shared key. 

2.4 Inventive step is therefore acknowledged. 

3. Claims 2-3 are dependent on Claim 1 and their 
subject matter is therefore also novel and 
inventive . 



4. The subject matter of Claims 1-3 is industrially 
applicable . 
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VII. Certain defects in the international application 

The following defects in the form or contents of the international application have been noted: 

1. If Dl is considered the closest prior art, then the 
description of the invention on page 3a, line 10 to 
page 4, line 4, is not correct (PCT Rule 

5.1(a) (iii) ) because a group key is also 
established in Dl by means of a tree structure and 
the number of n subscribers which participate in 
forming the key is also represented as a binary 
tree with n leaves, each subscriber being 
associated with one leaf of the binary tree having 
the length riog2nl. 

2, For the same reason, the two-part form is also 
incorrect (PCT Rule 6.3(b)). 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 
International Reference PCT/EP99/07051 



I. Basis of the report 



1. This report has been prepared on the basis of 
(suJbstitute sheets which have been furnished to the 
receiving Office in response to an invitation under 
Article 14 are referred to in this report as ''originally 
filed" and are not annexed to the report since they do 
not contain amendments) : 



the Specification, pages 

1,2,4-7 as originally filed 

3,3a received on 6/16/00 with letter of 6/15/00 



the Claims, nos . 

3 as originally filed 

1,2 received on 6/16/00 with letter of 6/15/00 

the Drawings, sheets/fig. 

1/3-3/3 as originally filed 



V. Substantiated determination according to Article 
35(2) with respect to novelty, inventive activity 
and industrial applicability; documents and 
clarifications in support of this determination 



DETERMINATION 

Novelty Claims 1-3 YES 

Claims NO 

Inventive Activity Claims 1-3 YES 

Claims NO 

Industrial Applicability Claims 1-3 YES 

Claims NO 



2. DOCUMENTS AND CLARIFICATIONS 
See Supplementary Page . 
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VII. Specific Shortcomings of the International 
Application 

It was determined that the International Application has 
the following shortcomings with regard to form or 
content : 

See Supplementary Page 
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International Reference PCT/EP99/07051 
Supplementary Page 



Re Point V 



1 



Reference is made to the following document: 



Dl = DAVID A, MCGREW AND ALAN T. SHERMAN: ^^Key 

Establishment in Large Dynamic Groups Using 
One-way Function Trees'', May 1998 (5/20/1998), 
pages 1-13; available on the Internet: 
<http : / /www, cs .lunbc . edu/-shentian/Papers/ itse .ps 
>23.JvLne 1998 XP002126220 

2.1 Document Dl is regarded as the most proximate 
related art with respect to the subject matter of 
the independent Claim 1. It discloses a process for 
establishing a common cryptographic key for n 
subscribers, in which each of the n subscribers is 
assigned one leaf of a binary- structured tree that 
has exactly n leaves and is, let us say, of depth 
flog^nl. 

2.2 In order to be able to delete from or add 
subscribers to the key directory without great 
effort even after the group key has been 
established, the method of the present Application 
provides that : 

- each subscriber him/herself generates a secret 
which is assigned to that leaf of the tree to which 
the respective subscriber is also assigned; 

- secrets are established consecutively in the 
direction of the tree root for all nodes of the 
tree, where starting from the leaves [and] according 

NY01 364566 v 1 3 




Best Available Copy 




to the defined tree structure across the entire 
hierarchy of the tree structure, two already known 
secrets are always combined via the Dif f ie-Hellmann 
process to form a new common secret and are 
allocated to a common node, so that the last node 
and therefore the tree root contains the common key 
of all n subscribers as the secret. 

2.3 Such a procedure is neither disclosed nor suggested 
by the documents mentioned in the Search Report: In 
the case of the method in document Dl, a "group 
manager" is needed for establishing the common key. 

2.4 The inventive activity is thus acknowledged. 

3. Claims 2-3 are dependent on Claim 1, and their 
subject matter is therefore also novel and 
inventive . 

4. The subject matter of Claims 1-3 is industrially 
applicable . 

Re Point VII 



1. If Dl is considered as the most proximate related 
art, the description of the invention on page 3a, 
line 10 - page 4, line 4 is not correct (Rule 
5.1(a) (iii)PCT), because a group key is established 
with the aid of a tree structure in Dl, as well, and 
the number of subscribers n involved in forming the 
key is represented as a binary tree having n leaves, 
one leaf of the binary tree having the depth |~log2n] 
being allocated to each subscriber. 

2 . The two-part form is also not correct for the same 
reason (Rule 6.3(b) PCT) . 
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Revised Specification Pages 3 and 3a 

In all these extensions, at least one of the following 
three problems occurs: 

The subscribers must be arranged in a certain 
manner, for instance in a circle in the above example. 
5 - The subscribers have no influence vis-a-vis the 

central station on the choice of key. 

The number of rounds is dependent on the number of 
subscribers . 

10 A further process for the common establishment of a key 

is known from the German Patent 195 38 385.0. In this 
process, however, the central station must know the 
secret keys of the subscribers . 

15 In the IEEE Transaction On Software Engineering, an 

article dated 5/20/1998, pages 1 through 13, was 
submitted under the title ''Key Establishment in Large 
Dynamic Groups Using One -Way Function Trees'' by David A. 
McGrew and Alan T. Sherman, which likewise introduces a 

20 process for establishing a common cryptographic key. This 

process is based on a tree structure. In that case, a 
group manager manages a binary tree, each node x of it 
being linked to two cryptographic keys, a node key kx and 
a hidden node key k'x-gCk^) . The hidden node key is 

25 calculated from the node key with the aid of a one-way 

function. Each subscriber knows the unhidden node keys on 
the path from his/her node up to the root and the hidden 
node keys for the nodes which are siblings for his/her 
path to the root, and otherwise no other hidden or 

30 unhidden keys. The feasibility of this process is 

obviously based on the fact that the group manager knows 
all the leaf keys. 

A design approach from Burmester, Desmedt, A secure and 
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efficient conference key distribution system, Proc . 
EUROCRYPT ' 94 , Springer LNCS, Berlin 1994 is also known, 
in which two rounds are required to generate the key, it 
being necessary in the second round for the central 
station to send n messages of length p = approx. 1000 
bits for n subscribers. 

Also known is a cryptographic process referred to as the 
(n,t) threshold process. With an (n,t) threshold process, 
it is possible to break a key k down into t parts (called 
shadows) , such that said key k can be reconstructed from 
any n of the t shadows (see Beutelspacher , Schwenk, 
Wolf enstetter : Moderne Verfahren der Kryptographie (2nd 
edition) , Vieweg Verlag, Wiesbaden 1998) . 

The present process is intended to permit the 
establishment of a common group key between a central 
station and a group of n subscribers. The process is to 
be such that, even after the group key has been 
established, subscribers can be removed from or added to 
the key directory without great effort . 

The objective is achieved by a process in which a group 
key is established with the aid of a tree structure. To 
that end, the number of subscribers n involved in the key 
agreement is represented as a binary tree having n 
leaves. For each natural number n, there are one or 
more ... 
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New Patent Claims 



1. A process for establishing a common cryptographic key 
for n subscribers using the DH process which is known per 
se, in which each of the n subscribers (I) is assigned 
one leaf of a binary- structured tree which has precisely 
n leaves and is, let us say, of depth [logsn") 
characterized in that, 

- each subscriber (I) him/herself generates a secret (i) ' 
which is assigned to that leaf of the tree to which the 
respective subscriber (I) is also assigned; 

- secrets are established consecutively in the direction 
of the tree root for all nodes (K) of the tree, where 
starting from the leaves according to the defined tree 
structure across the entire hierarchy of the tree 
structure, two already known secrets are always combined 
via the DH process to form a new common secret and are 
allocated to a common node (K) , so that the last node K„ 
and therefore the tree root contains the common key of 
all n subscribers as the secret. 

2. The process as recited in Claim 1, 
characterized in that 

- when a new subscriber is added to an existing tree 
structure which already has a common secret, in order to 
establish a common key for n+1 subscribers, two new 
leaves (Bl and B2) are added as successors to a leaf (B) 
at a suitable location of the binary tree, so that the 
new tree has precisely n+1 leaves and is of depth 

flog^ (n+l)l; 

- the subscriber assigned to the previous leaf (B) and 
the new subscriber are each assigned to one of the new 
leaves (B1;B2), the previous leaf B becoming a common 
node for the new leaves (B1;B2); 

- starting from the new leaves (B1;B2) and going as far 
as the root of the tree, new secrets are established only 
in those nodes which lie within the framework of the tree 
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structure on the path from leaves Bl and B2 to the tree 
root . 
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(57) Abstract 

The aim of the invention is to provide a method 
which also enables subscribers to be easily deleted from or 
added to the key directory after the group, key has been 
established. According to the invention, a terminal node of a 
binary-structured tree is allocated to each of the n subscribers 
(I), said tree having exactly n terminal nodes and having a 
depth [login]. A secret (i) is generated for each subscriber 
(I) and allocated to the particular terminal node of the tree 
to which the subscriber (I) is allocated. Secrets are then 
established for all of the nodes (K) of the tree in succession, 
in the direction of the roots of the tree. Two already known 
secrets are always amalgamated into one new, joint secret 
using the DH method. The last node Kw contains the joint 
key for all n subscribers. The inventive method can be used 
particularly advantageously for producing a cryptographic key 
for a group of subscribers whose number is subject to changes. 

(57) Zusammcnfassung 

Das Verfahren soil so ausgebildet werden, dafi auch 
nach dem Eiablieren des Gruppenschlussels ohne grofien 
Aufwand Teilnehmer aus dem SchlUssclver^ichnis gel6scht 
Oder hinzugefiigt werden kSnnen. ErfindungsgemaB wird 
jcdem der n Teilnehmer (I) jeweils ein Blatt eines binSr 
strukturierten Baumes, der genau n Blatter und die Tiefe [login] besitzl. zugeordnet. Fur jeden Teilnehmer (I) wird ein Geheimnis (i) 
generiert und dem Blatt des Baumes zugeordnet wird, dem auch der jeweilige Teilnehmer (I) zugeordnet ist. Nacheinander werden in 
Richtung der Baumwurzel fur alle Knoten (K) des Baumes Geheimnisse etabliert, wobei immer zwei beieits bekannte Geheimnisse uber das 
DH- Verfahren zu einem neuen gemeisamen Geheimnis zusammengefaBt werden. Der letzte Knoten Kw enthalt den gemeinsamen Schliissel 
aller n Teilnehmer. Das erfindungsgemgBe Verfahren laBt sich vorteilhaft zur Erzeugung eines kryptografischen Schlussels fiir eine Gruppe 
von Teilnehmem einsetzen, deren Teilnehmerzahl Anderungen unterworfen ist 
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Verfahren zum Etablieren eines gemeinsamen kryptograflschen Schiiissels fur n 
Teilnehmer 

Beschreibung: 

5 Das erfindungsgemaCe Verfahren dient der Erzeugung und dem Etablieren eines 
gemeinsamen kryptograflschen Schlussels fur n Teilnehmer zur Gewahrleistung der 
Geheimhaltung von Nachrichten, die iiber unsichere Kommunikationskanaie ausschlieBlich 
an die n Teilnehmer ubertragen werden sollen. 

10 Zum Schutz der Vertraulichkeit und Integritat der Kommunikation zwischen zwei oder 
mehr Personen werden die Mechanismen der Verschlusselung und Authentisierung 
eingesetzt. Diese erfordem allerdings das Vorhandensein einer gemeinsamen Information 
bei alien Teilnehmem. Diese gemeinsame Information wird als kryptographischer Schliissel 
bezeichnet. 

15 

Ein bekanntes Verfahren zum Etablieren eines gemeinsamen Schlussels uber unsichere 
Kommunikationskanaie ist das Verfahren von Diffie und Hellman (DH- Verfahren; 
vergleiche W. Diffie und M. Hellman, New Directions in Cryptography, lEEETransactions 
on Information Theory, IT-22(6):644-654, November 1976). 

20 Grundlage des Diffie-Hellmann-Schliisselaustauschs (DH76) ist die Tatsache, daC es 

praktisch unmoglich ist, Logarithmen modulo einer grofien Primzahl p zu berechnen. Dies 
machen sich Alice und Bob in dem unten abgebildeten Beispiel zunutze, indem sie jeweils 
eine Zahl x bzw. y kleiner als p (und teilerfiremd zu p-1) geheim wahlen. Dann senden sie 
sich (nacheinander oder gleichzeitig) die x-te (bzw. y-te) Potenz einer offentlich bekannten 

25 Zahl a zu. Aus den empfangenen Potenzen konnen sie dutch emeutes Potenzieren mit x 
bzw. y einen gemeinsamen Schliissel K~ a*^ berechnen. Ein Angreifer, der nur a"" und 
sieht, kann daraus K nicht berechnen. (Die einzige heute bekannte Methode dazu bestiinde 
darin, zunachst den Logarithmus z. B. von a^'zur Basis a modulo p zu berechnen und dann 
a^damit zu potenzieren.) 
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Alice Bob 
Wahlt X geheim 
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y 

a 



Bildet K: = ( a")'' = a'^ Bildet K: =( ay = a'^ 

Beispiel fur DifKe-Hellmann-Schlusselaustausch 

10 Das Problem bei dem im Beispiel beschriebenen DH-Schlusselaustausch besteht darin, dai3 
Alice nicht weil3, ob sie tatsachlich mit Bob oder mit einem Betniger kommuniziert. In 
IPSec wird dieses Problem durch den Einsatz von Public-Key-Zertifikaten geldst, in denen 
durch eine vertrauenswiirdige Instanz die Identitat eines Teilnehmers mit einem ofifentlichen 
Schlussel verkniipft wird. Dadurch wird die Identitat eines Gesprachspartners uberpriifbar. 

15 

Der DH-Schliisselaustausch kann auch mit anderen mathematischen Strukturen realisiert 
werden, z. B. mit endlichen Korpem GF(2") oder elliptischen Kurven. Mit diesen 
Altemativen kann man die Performance verbessem. Dieses Verfahren ist allerdings nur zur 
Vereinbarung eines Schlussels zwischen zwei Teilnehmem geeignet. 

20 Es wurden verschiedene Versuche untemommen, das DH- Verfahren auf drei oder mehr 
Teilnehmer zu erweitem (Gruppen DH). (Einen Uberblick uber den Stand der Technik 
bietet M. Steiner, G. Tsudik, M. Waidner, Diffie-Hellman Key Distribution Extended to 
Group Communication. Proc. 3^' ACM Conference on Computer and Communications 
Security, Marz 1996, Neu Delhi, Indien.) 

25 Eine Erweiterung des DH- Verfahren auf drei Teilnehmer A, B und C wird z. B. durch 
nachfolgende Tabelle beschrieben. (Berechnung jeweils mod p): 







A-).B 


B-^C 


C-^ A 


30 












1. Runde 




g" 


g-^ 


35 


2. Runde 


g" 


g" 


g" 



Nach Durchfiihrung dieser beiden Runden kann jeder der drei Teilnehmer den geheimen 
Schlussel g'*^ mod p berechnen. 
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3 

Bei alien diesen Enveiterungen trin mindestens eines der drei folgenden Probleme auf: 

- Die Teilnehmer miissen in einer bestimmten Art und Weise geordnet sein, im obigen 
Beispiel z. B. als Kreis. 

- Die Teilnehmer haben gegeniiber der Zentrale keinen EinfluB auf die Auswahl des 
Schlussels, 

- Die Rundenzahl ist abhangig von der Teilnehmerzahl 



Ein weiteres Verfahren zum gemeinsamen Etablieren eines Schlussels ist aus 
DE 195 38 385.0 bekannt. Bei diesem Verfahren muB die Zentrale allerdings die geheimen 
10 Schliissel der Teilnehmer kennen. 



Weiterhin ist eine Losung aus Burmester, Desmedt, A secure and efficient conference key 
distribution system, Proc. EUROCRYPT^ 94, Springer LNCS, Berlin 1994 bekannt, bei der 
zwei Runden zur Generierung des Schlussels benotigt werdea wobei in der zweiten Runde 
15 durch die Zentrale fiir n Teilnehmer n Nachrichten der Lange p = ca. 1000 Bit gesendet 
werden miissen. 

Bekannt ist auch ein als (n,t)-Threshold- Verfahren bezeichnetes kryptografisches Verfahren. 
Mit einem (n,t)-Threshold-Verfahren kann man einen Schliissel k so in t Teile, die shadows 
genannt werden, zerlegen, daB dieser Schliissel k aus je n der t shadows rekonstruiert 
20 werden kann (vgl. Beutelspacher, Schwenk, Wolfenstetter: Modeme Verfahren der 
Kryptographie (2. Auflage), Vieweg Verlag, Wiesbaden 1998). 

Das vorliegende Verfahren soli das Etablieren eines gemeinsamen Gruppenschliissels 
zwischen einer Zentrale und einer Gruppe von n Teilnehmem ermoglichen . Das Verfahren 
25 soil so ausgebildet werden, daB auch nach dem Etablieren des Gruppenschliissels ohne 
groBen Aufwand Teilnehmer aus dem Schliisselverzeichnis geloscht oder hinzugefiigt 
werden konnen. 

Die Aufgabenstellung wird durch eine Verfahren gelost, bei welchem das Etablieren eines 
30 Gruppenschlussels mit Hilfe einer Baumstruktur vorgenommen wird. ErfindungsgemaB wird 
dazu die Anzahl der an der Schlusselvereinbarung beteiligten Teilnehmer n als binarer 
Baum mit n Blattem darstellen. Fiir jede natiirliche Zahl n gibt es ein oder mehr 
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Darstellungen dieser Art. Die Anzahl der Blatter ist dabei mit der Anzahl der in das 
Verfahren einbezogenen Teilnehmer identisch. Das bedeutet, dai3 einer Anzahl von n 
Teilnehmem eine Anzahl von n Blatter eines binaren Baumes mit der Tiefe flogin! 
zugeordnet ist 

Fig. 1 zeigt das Wirkprinzip des erfindungsgemaBen Verfahrens anhand der Baumstniktur 
einer Schlusselvereinbarung ftir drei Teilnehmer A, B, C 

Um einen gemeinsamen Schliissel zu etablieren, gehen die Teilnehmer A, B und C wie folgt 
vor: 

- Teilnehmer A und B flihren ein DH- Verfahren mit nach dem Zufallsprinzip generierten 
Zahlen a und b durch. Sie erhalten den gemeinsamen Schliissel kl-g^*' mod p, der dem 
gemeinsamen Knoten Kl zugeordnet wird. 

- Teilnehmer A und B auf der einen und Teilnehmer C auf der anderen Seite flihren ein 
zAveites DH- Verfahren durch, welches auf dem gemeinsamen Schliissel kl der 
Teilnehmer A und B und auf einer nach dem Zufallsprinzip generierten Zahl c des 
Teilnehmers C beruht. Das Ergebnis ist der gemeinsame Schlussel k=g'^ '' mod p, der der 
Wurzel des Baumes Kw zugeordnet wird. 

Das erfindungsgemaBe Verfahren wird anhand von Ausfuhrungsbeispielen naher erlautert. 
In Fig. 2 ist die Baumstruktur fiir eine Schliisselvereinbarung flir vier Teilnehmer A, B, C 
und D dargestellt. 

Fig 3 zeigt die Baumstruktur einer Schlusselvereinbarung fiir 5 Teilnehmer A, B, C, D und 
E. 

Fig. 4 zeigt, ausgehend von einer bereits bestehenden Baumstruktur nach Fig.2, ein Beispiel 
fur die Erweiterung der Baumstruktur um einen Teilnehmer. 

Fig. 5 zeigt, ausgehend von einer bereits bestehenden Baumstruktur nach Fig. 2, das 
Entfemen/Loschen eines Teilnehmers aus der Baumstruktur. 

Nachfolgend wird anhand von Figur 2 ein Beispiel einer Schlusselvereinbarung fiir vier 
Teilnehmer A, B, C und D beschrieben: 

Um einen gemeinsamen Schlussel fiir vier Teilnehmer (Fig.2) zu etablieren, gehen 
Teilnehmer A, B, C und D wie folgt vor: 
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- Teilnehmer A und B fuhren ein DH-Verfahren mit nach dem Zufallsprinzip generierten 
Zahlen a und b durch. Sie erhalten den gemeinsamen Schlussel kl mod p. 

- Teilnehmer C und D fuhren ein DH-Verfahren mit zufallig gewahlten Zahlen c und d 
durch. Sie erhalten den gemeinsamen Schlussel k2=g*^ mod p. 

- Teilnehmer A und B auf der einen und Teilnehmer C und D auf der anderen Seite fuhren 
gemeinsam ein zweites DH-Verfahren durch, in welches von Teilnehmer A und B der 
Schlussel kl und von Teilnehmer C und D der Schlussel k2 einbezogen werden. Das 
Ergebnis ist der gemeinsame Schlussel kv^^g*"^^ mod p, welcher der Wurzel des 
Baumes Kw zugeordnet ist. 

Nachfolgend wird anhand von Figur 3 ein Beispiel einer Schlusselvereinbarung flir fiinf 
Teilnehmer A, B, C, D, und E beschrieben: 

Um einen gemeinsamen Schlussel zu etablieren, gehen die Teilnehmer A, B, C, D und E wie 
folgt vor: 

- Teilnehmer A und B fuhren ein DH-Verfahren mit zufallig gewahlten Zahlen a und b 
durch. Sie erhalten den gemeinsamen Schlussel kl=g^^ mod p. 

- Teilnehmer C und D fuhren ein DH-Verfahren mit zufallig gewahlten Zahlen c und d 
durch. Sie erhalten den gemeinsamen Schlussel k2=g'^*^mod p. 

- Teilnehmer A und B auf der einen Seite und Teilnehmer C und D auf der anderen Seite 
fuhren gemeinsam ein zweites DH-Verfahren durch, in welches von Teilnehmer A und B 
der gemeinsame Schlussel kl und von Teilnehmer C und D der gemeinsame Schlussel 
k2 einbezogen werden.. Das Ergebnis ist ein gemeinsamer Schlussel k3=g*^^ *^ mod p 
fiir die Teilnehmer A, B, C und D. 

- Die Teilnehmer A, B, C und D auf der einen Seite und der Teilnehmer E auf der anderen 
Seite fuhren ein drittes DH-Verfahren durch, in welches der gemeinsame Schlussel k3 
der Teilnehmer A, B, C und D und eine fiir den Teilnehmer E generierte Zufallszahl e 
einbezogen werden. Das Ergebnis ist der gemeinsame Schlussel kw=g*^ ^ mod p, der der 
Wurzel des Baumes Kw zugeordnet ist. 

Aufgrund der Struktur des erfindungsgemaBen Verfahrens ist es moglich, neue Teilnehmer 
mit einzubeziehen bzw. einzelne Teilnehmer auszuschlieBen, ohne das ganze Verfahren fiir 
jeden Teilnehmer noch einmal durchfiihren zu miissen. 
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Das Einfugen eines neuen Teilnehmers wird anhand einer Baumstruktur mit vier 
Teilnehmem nach Fig, 4 naher eriautert: Ausgangssituation ist dabei eine Baumstruktur 
entsprechend Fig. 2 in welche eine neuer Teilnehmer bei Blatt B eingefugt werden soil. 
Bei Hinzunahme eines neuen Teilnehmers in eine bereits bestehende Baumstruktur, die iiber 
ein gemeinsames Geheimnis verfugt, werden zum Etablieren eines neuen gemeinsamen 
Schlussels fiir n+1 Teilnehmer an einer geeigneten Stelle des binaren Baumes (Blatt B 
vorgegeben) zwei neue Blatter B 1 und B2 angefugt. Der neue Baum besitzt dann n+1 
Blatter und die Tiefe flogzCn+l)! Der bisher dem Blatt B zugeordnete Teilnehmer wird 
einem der neue Blatter Bl zugeordnet. Der neue Teilnehmer wird dem anderen noch freien 
Blatt B2 zugeordnet. Das bisherige Blatt B wird zu einem Knoten Kl fiir die Blatter Bl 
und B2. Ausgehend von den neuen Blattem Bl und B2 werden bis hin zur Wurzel des 
Baumes nur in den Knoten K neue Geheimnisse etabliert, die im Rahmen der Baumstruktur 
auf dem Weg von den neuen Blattem Bl und B2 zur Wurzel des Baumes Kw liegen. Das 
sind im konkreten Fall die Knoten Kl, K2 und Kw. 

Ist die Anzahl der Teilnehmer eine Zweierpotenz, so erhoht sich die Tiefe des Baumes 
durch diesen Vorgang um 1 (vgl. vorhergehendes Beispiei). Ist die Anzahl der Teilnehmer 
keine Zweierpotenz, so kann durch geschickte Wahl des aufzuteilenden Blattes eine 
VergroBerung der Tiefe vermieden werden, wie das folgende Beispiei zeigt: 

Um beispielsweise einen vierten Teilnehmer zu drei Teilnehmem hinzuzufiigen, geht man 
(ausgehend von der Situation nach Fig.l) wie folgt vor: 

- Teilnehmer C fuhrt mit dem neu hinzugekommenen Teilnehmer D ein DH-Verfahren mit 
zufallig generierten Zahlen c' und d durch (c soUte sich von dem vorher gewahlten c 
unterscheiden, dies muB aber nicht der Fall sein). Das Ergebnis ist k2 =g'' mod p. 

- Teilnehmer A und Teilnehmer B auf der einen und Teilnehmer C und D auf der anderen 
Seite fuhren ein DH-Verfahren mit den Werten kl und k2 durch. Das Ergebnis ist 
k=g*^^ *^' mod p. 

Bei einer derartigen Konfiguration miissen die Teilriehmer A und B keinen neuen 
Schlusseltausch durchflihren, Generell miissen nur die Geheimnisse neu vereinbart werden, 
die im zugehorigen Baum auf dem Weg vom Blatt des neuen Teilnehmers zur Wurzel Kw 
liegen. 
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Das AusschlieBen bzw, Loschen eines Teilnehmers wird anhand einer Baumstruktur mit vier 
Teilnehmern anhand von Figur 5 naher erlautert: Ausgangssituation ist dabei eine 
Baumstaiktur entsprechend Fig. 2, aus der Teilnehmer B entfemt werden soil. 
Beim AusschlieBen hzw, beim Loschen eines Teilnehmers B aus einer bereits bestehenden 
Baumstruktur, die uber ein gemeinsames Geheinmis verfiigt, werden wie in Fig. 5 
ausgefuhrt, sowohl das Blatt des zu entfemenden Teilnehmers B als auch das Blatt des dem 
gleichen gemeinsamen Knoten Kl zugeordneten Teilnehmers A entfemt. Der gemeinsame 
Knoten Kl wird zum neuen Blatt A' des in der Baumstruktur verbleibenden Teilnehmers A. 
Ausgehend von den Blattem des Baumes bis zur Wurzel Kw werden nur in den Knoten K 
neue Geheinmisse etabliert, die vom neuen Blatt A' im Rahmen der Baumstmktur in 
Richtung Wurzel Kw unmittelbar tangiert werden. Das ist im konkreten Fall nur der 
Wurzelknoten Kw. Bei einer deranigen Konfiguration miissen die Teilnehmer C und D 
keinen neuen Schliisseltausch durchfiihren. Generell miissen auch hier nur die Geheimnisse 
neu vereinbart werden, die im zugehorigen Baum auf dem Weg vom Blatt des Partners des 
entfemten Teilnehmers zur Wurzel liegen. 

Das Verfahren kann in vielfacher Hinsicht zweckmaBig weiter ausgestaltet werden: 
Fiir die Bildung der diskreten Exponentialfunktion x -> g^ bietet sich beispielsweise die 
Verwendung anderer Gruppen an. 

Beim Hinzufiigen oder Entfemen eines Teilnehmers kann beispielsweise vereinbart werden, 
daB fur die notwendigen neuen Durchfiihmngen des DH-Verfahrens nicht die alten 
Geheimnisse, sondem das Ergebnis einer (evtl. randomisierten ) Einwegfunktion verwendet 
wird. 
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1. Verfahren zum Etablieren eines gemeinsamen kryptografischen Schlussels fiir n 
Teilnehmer unter Anwendung des DH-Verfahrens, 
dadurch gekennzeichnet, 

-daB jedem der n Teilnehmer (I) jeweils ein Blatt eines binar strukturierten Baumes, der 
genau n Blatter und die Tiefe riog2n1 besitzt, zugeordnet wird, 

-daB fur jeden Teilnehmer (I) ein Geheimnis (i) generiert und dem Blatt des Baumes 
zugeordnet wird, dem auch der jeweilige Teilnehmer (I) zugeordnet ist, 

-daB nacheinander in Richtung der Baumwurzel fer alle Knoten (K) des Baumes 
Geheimnisse etabliert werden, wobei ausgehend von den Blattem entsprechend der 
festgelegten Baumstruktur uber die gesamte Hierarchic der Baumstruktur immer zwei 
bereits bekannte Geheimnisse uber das DH- Verfahren zu einem neuen gemeinsamen 
Geheimnis zusammengefaBt und einem gemeinsamen Knoten (K) zu geordnet werden, 
so daB der letzte Knoten Kw und damit die Baumwurzel, als Geheimnis den 
gemeinsamen Schliissel aller n Teilnehmer enthalt. 

2 Verfahren nach Anspruch 1, dadurch gekennzeichnet, 

-daB bei Aufhahme eines neuen Teilnehmers in eine bestehende Baumstruktur, die bereits 
uber ein gemeinsames Geheimnis verfugt, zum Etablieren eines gemeinsamen Schlussel 
fiir n+1 Teilnehmer an geeigneter Stelle des binaren Baumes einem Blatt (B) als 
Nachfolger zwei neue Blatter (Bl und B2) angefugt werden, so daB der neue Baum 
genau n-f-1 Blatter und die Tiefe riog2(n+l)l besitzt, 

-daB der dem bisherigen Blatt (B) zugeordnete Teilnehmer und der neue Teilnehmer 
jeweils einem der neuen Blatter (Bl; B2) zugeordnet werden, wobei das bisherige 

Blatt B zu einem gemeinsamen Knoten fur die neuen Blaner (B1;B2) wird, 

-daB ausgehend von den neuen Blattem (B1;B2) bis zur Wurzel des Baumes nur in den 

Knoten neue Geheimnisse etabliert werden, die im Rahmen der Baumstruktur auf dem 

Weg von den Blattem Bl und B2 zur Baumwurzel liegen. 
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3. Verfahren nach Anspruch l,dadurch gekennzeichnet, 

-daC bei AusschlieBung eines Teilnehmers (B) aus einer bereits bestehenden 
Baumstruktur die bereits uber ein Geheimnis verfiigt, sowohl das Blatt des zu 
entfemenden Teilnehmers (B), als auch daB Blatt des dem gleichen gemeinsamen 
Knoten zugeordneten Teilnehmers (A) entfemt werden, 

-daC der gemeinsame Knoten zum Blatt des nicht zu entfemende Teilnehmers A wird, 
und daB ausgehend von den Blattem des Baumes bis zur Wurzel nur in den Knoten 
neue Geheimnisse ertablien werden, die im Rahmen der Baumstruktur auf dem Weg 
vom neuen Blatt (A) zur Baumwurzel liegen. 
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